物理隔离关注Linux如何贯通安全通道

2008-04-02 10:58:18来源：互联网阅读 ()

随着互联网在全球的推广与应用，以及我国信息化建设的深入，局域网用户对互联网信息的需求越来越多，随之而来的网络安全问题也日益突出。某些局域网，特别是对于某些安全性要求极高的部门局域网，是严格限制与互联网直接相连的。

国家保密局已于2000年发布了《计算机信息系统国际联网保密管理规定》，文件规定“涉及国家秘密的电脑信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离”。

这些局域网从互联网上获得信息的传统方式是利用Teleport等离线浏览软件，先从互联网上采集数据，再手工拷贝到内部局域网。

这样虽然保证了网络安全，却给实际工作带来了很多不便。首先，这类离线软件不能处理采集数据中的无效链接；其次，每次采集都必须由人工启动完成，不能根据应用需要自动采集；再者，所有的操作都由手工完成，导致工作效率很低；而且随着信息需求量的增大，劳动强度也越来越大。

为了解决这种日益突出的信息需求和信息安全之间的矛盾，我们在Red Hat Linux平台上研制开发了基于物理隔离的“互联网信息安全采集系统”。

该互联网信息安全采集系统是一个保证在任一时刻，在局域网和互联网物理隔离的前提下，安全浏览互联网网络资源的系统软件。它为用户提供了一个以物理隔离为基础的安全的网络环境，并提供了信息采集、负载均衡、自动转发、信息控制等功能。

系统逻辑结构

该互联网信息安全采集系统由采集服务器、中间服务器（含物理隔离器）和内部服务器三部分构成。其主要设计思想是通过中间服务器建立互联网和局域网的间接连接，对局域网用户来说，上网过程实际仅是浏览局域网内部服务器提供的内容，而由采集服务器从互联网上自动下载指定网站的内容，模拟局域网用户的上网过程。

中间服务器能够保证不同时连接局域网和互联网，即连接内部局域网时，中间服务器与互联网的连接不论是物理上，还是软件设置上都完全断开，反之亦然。这样，来自互联网的影响或攻击不可能进入局域网内部，局域网内部也无法真正地连接到互联网上，整个系统的安全性主要由中间服务器加以控制。

该系统的逻辑结构如图1所示。